Появление роботов в городском пространстве — от уборщиков и курьеров до патрульных — уже не фантастика, а реальность. Эти устройства призваны сделать жизнь мегаполисов комфортнее, но их интеграция несет и новые риски. Сложная киберфизическая природа роботов делает их уязвимыми для целого спектра угроз, а последствия взлома выходят далеко за рамки утечки данных и могут угрожать физической безопасности людей и городской инфраструктуры. Почему безопасность робота начинается на уровне его создателей, кто его главные «враги» и как не допустить катастрофы? На вопросы TelecomDaily подробно ответил Вячеслав Борилин, менеджер по развитию технического сообщества «Лаборатории Касперского».
- Почему мы вообще говорим о кибербезопасности роботов? Чем защита робота отличается от защиты любого другого IoT-устройства?
- Особенность роботов в том, что они, как правило, представляют повышенную опасность для окружающих. То есть это вопрос не только информационной безопасности, но и жизни и здоровья людей, сохранности инфраструктуры и экологии. Ущерб от взлома роботов может быть существенно выше, чем, например, умного холодильника или видеокамеры.
Робот — это не просто IoT-устройство, собирающее и передающее данные. Это киберфизическая система, которая активно воздействует на физический мир. Взлом обычного IoT-устройства может привести к утечке данных. Взлом робота-уборщика, дрона-пожарного или беспилотного автомобиля может привести к физическим поломкам, материальному ущербу для городской инфраструктуры, экологической катастрофе или человеческим жертвам. Критичность последствий делает кибербезопасность роботов не просто желательной, а обязательной мерой.
- Кто может попытаться взломать городских роботов, помимо хакеров, и какая у них мотивация?
- Тут достаточно много вариантов: бывшие недовольные сотрудники, конкуренты, вандалы и хулиганы, скучающие операторы или пользователи этих устройств, ну и, конечно, политически мотивированные, недружественно настроенные злоумышленники.
- Чем конкретно опасен скомпрометированный городской робот-уборщик? Какие самые серьёзные последствия его взлома или поломки?
- Для начала — это тяжёлая железная машина. Наезд такого робота на человека может нанести серьёзные травмы. Контролируемый злоумышленником робот может выехать на оживлённую дорогу и стать причиной ДТП, повредить газопровод. Достаточно будет просто въехать в припаркованные машины, чтобы у владельца возникли проблемы. Также есть и другие опасности: шпионаж с помощью датчиков робота, срыв или саботаж заданий, блокирование корпусом робота дорог или въездов в критически важные учреждения (больницы, пожарные части).
- Где находятся самые «слабые места» современного робота? Где чаще всего скрываются уязвимости?
- С точки зрения проникновения «внутрь робота», пока самые слабые места связаны с системы связи и навигации. Проще всего атаковать внешние беспроводные интерфейсы. А вот с точки зрения ущерба в результате развития атаки самые опасные — алгоритмы управления роботом, которые и сами могут содержать уязвимости или недокументированные возможности.
Причины слабых мест кроются в сложности решений и огромной кодовой базе. Чем больше кода, тем выше вероятность уязвимостей. Во-вторых, это высокая связность компонентов. Уязвимость в одном модуле может привести к компрометации всей системы. В-третьих, это использование чужого кода. Компоненты от разных производителей могут содержать неизвестные уязвимости. Это особенно касается автопилота и подсистем, использующих искусственный интеллект. И наконец, отсутствие изоляции и контроля взаимодействия. Атака на один компонент позволяет беспрепятственно распространиться по всей системе.
- Можете привести пример конкретного опасного сценария, к которому могут привести действия злонамеренного оператора или хакера?
- Злоумышленнику, например, удаётся перехватить управление и направить робота на таран людей, других транспортных средств или элементов критической инфраструктуры. Или контролируемый кем-то робот может выехать на дорогу и заблокировать её, что станет причиной ДТП.
- Появляются ли новые риски, если робот оснащён ИИ и камерами? Как обычные хулиганы или вандалы могут повлиять на работу робота?
- Оснащение ИИ и камерами увеличивает количество возможных точек отказа. ИИ шагнул далеко, но полностью доверять ему жизни и здоровье окружающих пока рано. Разработчикам необходимо учитывать такие сценарии и оберегать ИИ от возможных ошибок, которые могут привести к опасным ситуациям.
- Почему безопасность робота должна закладываться ещё на этапе проектирования и разработки, а не только обеспечиваться силами ИБ-специалистов после начала эксплуатации?
- Если безопасность добавляется постфактум, это, во-первых, дорого: придётся переделывать уже готовую архитектуру и переписывать программный код. Во-вторых, неэффективно: это борьба с симптомами, а не с причиной — вместо того чтобы обеспечить устойчивость к атакам, мы пытаемся их избежать. В-третьих, использование только наложенных средств защиты порождает иллюзию защиты: ИБ-специалисты не могут гарантировать безопасность внутренней сложной логики работы устройства, которую писали разработчики, просто в силу того, что они её не видели.
Поскольку наша цель — обеспечить устойчивость к известным, а, самое главное, к неизвестным атакам, самое верное — заложить это свойство ещё на этапе дизайна и разработки.
- На каком именно этапе создания робота уже поздно начинать думать о защите?
- Конечно, лучше поздно, чем никогда. Однако, чем позднее, тем дороже. Как только архитектура стала сложной и высокосвязанной, а кодовая база — большой, кардинально повысить её безопасность без полного переписывания практически невозможно. Поэтому, когда программисты получили техническое задание, продумали архитектуру и пошли писать код для реализации, обычно это уже «поздно». Для того, чтобы не оказаться в такой ситуации, необходимы знания. По этой причине мы регулярно проводим хакатоны для начинающих программистов и ИТ-специалистов и участвуем в аналогичных сторонних мероприятиях. К примеру, в сентябре стартует хакатон Мэра Москвы, в его рамках по задаче от нашей компании командам нужно будет просчитать возможные риски киберфизической безопасности городского робота и внедрить методы конструктивной безопасности на этапе разработки.
- Какие базовые меры защиты необходимо предусмотреть?
- Основные принципы конструктивной безопасности, которые надо постоянно применять, начиная с проектирования, и на каждой итерации разработки — это продуманная архитектура с минимизацией связности и изоляцией компонентов, выделение и изоляция критичного кода, принцип минимальных привилегий, контроль взаимодействия подсистем и компактный доверенный код.
Большую помощь проектировщикам и разработчикам могут оказать современные стандарты — это ГОСТ Р 72118 «Системы с Конструктивной Информационной Безопасностью», ПНСТ 818-2023, ГОСТ ISO/IEC TS 19249 — в них содержатся конкретные рекомендации.
Конечно, можно прийти на обучающие курсы от «Лаборатории Касперского» для изучения конкретных приёмов. И кстати, уже несколько десятков вузов преподают кибериммунный подход будущим разработчикам — студентам ИТ- и ИБ-специальностей.
- Какую роль в процессе защиты робота играют специалисты по кибербезопасности, а какую — сами разработчики?
- Специалисты по кибербезопасности продумывают модель угроз, помогают выбрать сценарии атак для тестирования. Оценивают риски и вместе с разработчиками вырабатывают цели безопасности системы. Разработчики проектируют систему так, чтобы эти цели достигались.
- О каких новых угрозах безопасности в городской робототехнике нам стоит подумать уже сегодня?
- Угон роботов, неавторизованное использование, массовый вывод из строя с нанесением ущерба людям и инфраструктуре. Риски возгорания роботов на аккумуляторах из-за атак через системы управления электропитанием. Блокирование дорог и подъездов, шпионаж с использованием камер и датчиков.
- Какой главный совет вы бы дали компаниям, которые начинают разрабатывать подобных роботов?
- Следует с самого начала отказаться от иллюзии существования роботов без уязвимостей. Необходимо заранее продумать простые компоненты защиты, которые должны эффективно работать даже в условиях внутренних атак.
С самого начала закладывать кибериммунный, то есть конструктивный, подход в архитектуру проекта. Помнить, что переделывать будет невероятно дорого и сложно, а последствия взлома выходят далеко за рамки утечки данных.
Стоит воспринимать кибербезопасность не как отдельную подсистему, по типу «мы подумаем про это завтра», а сразу понимать, что опасные отказы робототехники могут быть вызваны не только сбоями оборудования, но и действиями хакеров — и реализовывать подсистему безопасности сразу с учётом киберрисков. Передовые разработчики робототехники уже сейчас делают именно так.
- Как горожанам следует правильно взаимодействовать с такими роботами?
- Не пытаться физически взаимодействовать: не блокировать путь, не останавливать, не повреждать. Не пытаться взломать: не подключаться к портам, не глушить сигналы. Соблюдать дистанцию и сообщать о подозрительном поведении в службу эксплуатации.
